El espejismo de la seguridad

Es curioso como con el paso del tiempo y la masificación del uso de internet, sus contenidos y las maneras de conectarse
(principalmente alámbrico), vivimos en una constante ilusión de seguridad que las actualizaciones, los antivirus, los firewalls e incontables suites de seguridad nos han dado.

Cualquier persona conoce muy bien el concepto de internet inalambrico y en caso de no tener conexion 3G, no dudamos ni por un segundo
el buscar una red inalámbrica sin seguridad para poder checar el estatus en twitter, actualizarnos en facebook o simplemen revisar ese correo tan importante del trabajo.

Desafortunadamente aún con los grandes avances que existen en materia de actualizaciones, antivirus y firewalls mientras mas uso le damos a internet y a las comunicaciones inalámbricas, el valor de la información que alguien puede acesar crece exponencialmente.

Por ejemplo hace 7 u 8 años los ataques eran muy rara vez dirigidos a una empresa o individuo en particular, de hecho el hacking iba mas enfocado a hacer que las personas perdieran información, y muy rara vez el motivo era apoderarse de ella, precisamente porque el tipo de información, 1 era muy dificil de acceder (si no imposible) y el tipo de información, era rara vez personal.

Hoy en día el botín es mucho mas jugoso y además mucho mas al alcance de los pillos. Uno de los motivos principales que hoy estemos mas expuestos que nunca son las conexiones inalámbricas y el hecho que los sistemas operativos han facilitado mucho la vida al abstraer estas conexiones, por ejemplo una vez firmado en una red inalámbrica, la computadora si después la detecta, automaticamente tratara de conectarse.

COn una conexión por cable la existencia de un (man in the middle attack / ataque de hombre en el medio) es mucho mucho menos probable. Si a esto le sumamos  el hecho que apenas los sitios mas importantes estan implementando encripción (facebook y twitter tienen menos de 3 meses de haberlo implementado), tenemos la mezcla perfecta para el robo de información.

Obviamente este tipo de ataques no son muy comunes, tanto por el tiempo como por el conocimiento que la persona debe de tener, sin embargo es tan grande el número de personas utilizando la tecnología, que se convierte el algo bastante rentable. Incluso se convierte en algo mas interesante para el pillo cuando el ataque es dirigido. Imaginemos nada mas a alguien afuera de las oficinas de una empresa a la que desea comprometer, haciendo un broadcast de una red inalámbrica con el mismo nombre o parecido al de la empresa. Con tiempo y algo de paciencia algo eventualmente caerá.

Las recomendaciones para evitar este tipo de problemas son: (de la mas sencilla a las mas complejas).

  • Asegurate de utilizar contraseñas de complejidad moderada. (no te vayas por palabras sencillas).
  • Evita al máximo el repetir contraseñas en diferentes aplicaciones/sitios. Les recomiendo herramientas como Lastpass.
  • Asegurate que cuando ingreses tus contraseñas a cualquier sitio, este este encriptado. (Esto puedes verificarlo con un pequeño candado a un lado del URL, o
    cuando la direccion con tiene https, en lugar de solo http.
  • Si tienes la posibilidad de utilizar autenticacion de 2 factores, eso te da un añadido de seguridad.
  • Si tienes manera de hacer VPN y encriptar tu trafica siempre que uses una red inalambrica no conocida es tu mejor defensa contra cualquier ataque.

Obviamente todas estas son solo recomendaciones, como contestó el CEO de Sony para America, cuando le preguntaron si despues del trabajo que habían hecho para mejorar la seguridad de PSN, era imposible que los volvieran a hackear, contestó muy humilde y correctamente, que eso era imposible de decir, pero que el trabajo realizado iba  a hacer que un acto como el sucedido fuera muchísimo mas difícil de llevar a cabo.

Hay que tener cuidado y no tener la ilusión de la seguridad, recuerda que hay información muy valiosa que esta en juego (tus tarjetas de credito, estados de cuenta, presencia en la web, los sitios que navegas),
vamos dándole la importancia necesaria a nuestra vida en la internet.